SDN, Automatisierung und Co.

Netze richtig absichern

11.10.2013 von Andreas Schaffry
Komplexe Netzwerkinfrastrukturen in Rechenzentren lassen sich mit Software Defined Networks (SDN) und einem automatisierten Rules Management besser absichern.
Viele Unternehmen vernachlässigen ihre Netzwerk-Sicherheit. Einer Umfrage der CIO-Schwesterpublikation Network World zufolge verfügt nur ein Drittel der befragten Firmen über ein automatisiertes Security-Rules-Management.
Foto: Network World

Hochverfügbare und sichere IT-Prozesse sind für Unternehmen wettbewerbsrelevant. Doch in firmeneigenen Rechenzentren steigt die Komplexität. Dafür gibt es eine Reihe von Gründen. Die zu verarbeitenden Datenmengen steigen rasant, es werden verstärkt webbasierte, skalierbare Business-Applikationen eingesetzt und der Trend zur Virtualisierung von Servern hält unvermindert an. Hinzu kommt, dass viele Unternehmen die bisher in regionalen Rechenzentren betriebenen IT-Prozesse ihrer Tochtergesellschaften in einem zentralen Rechenzentrum konsolidieren und verwalten.

Netzwerksicherheit wird vernachlässigt

Doch je komplexer die Strukturen in einem Rechenzentrum werden, desto höher sind auch die Anforderungen an die Absicherung der dort betriebenen Applikationen und gespeicherten Daten. Etwas mehr als die Hälfte der IT-Verantwortlichen sind der Auffassung, dass sie ihre Netzwerkinfrastrukturen im Rechenzentrum modifizieren müssen, um die gestiegenen Anforderungen an die Firewall größtenteils oder in einem gewissen Umfang zu erfüllen.

Das hat die CIO.de-Schwesterpublikation Networkworld in der Untersuchung "Data Center Dinosaur. Adapt or die" herausgefunden, die in Zusammenarbeit mit dem US-Marktforscher Enterprise Strategy Group und dem Netzwerkausrüster Cisco entstand. Die Ergebnisse basieren auf den Angaben von mehr als 200 IT-Verantwortlichen in Unternehmen, die mehr als 1000 Mitarbeiter beschäftigen.

Knapp drei Viertel der Unternehmen sind der Auffassung, dass ihre aktuelle Firewall und das Intrusion Detection System (IDS) beziehungsweise Intrusion Prevention System (IPS) die steigenden Anforderungen nicht mehr erfüllen. So wird die lückenhafte Netzwerksicherheit zur Bedrohung für die IT und das Business. CIOs stehen hier aber vor einem Dilemma. Business- oder IT-Initiativen wie die Entwicklung und Implementierung neuer Applikationen lassen sich nur dann zügig durchführen, wenn Abstriche bei der Absicherung der Netzwerkinfrastrukturen im Rechenzentrum gemacht werden.

Das mag zwar die Manager in den Geschäftsbereichen zufriedenstellen, doch zugleich steigen die Risiken von Sicherheitsverletzungen. Wird das Niveau der Netzwerk- und Informationssicherheit reduziert, rechnen IT-Verantwortliche mit mehr Sicherheitsvorfällen, wie etwa Distributed-Denial-of-Service-(DDoS)- oder Zero-Day-Attacken.

4 Tipps für mehr Netzwerk-Security

CIOs müssten deshalb die bisherigen Modelle zur Absicherung der Netzwerke überdenken und neue Wege gehen. Abhilfe könnte hier die Software-Defined-Networks-(SDN)-Technologie schaffen, die den Aufbau einer frei konfigurierbaren und flexiblen Netzwerkinfrastruktur ermöglichen soll. Im Unterschied zu herkömmlichen Netzwerk- und Switching-Architekturen wird beim SDN der Kontrollpfad vom Datenpfad und somit vom physikalischen Netzwerk getrennt. Dadurch lassen sich die Datenflüsse im Netzwerk direkt zu den Security-Services leiten, ohne dass Änderungen am physikalischen Netzwerk nötig sind. Ebenso könnten über SDN die aktuell benötigten Sicherheits-Services bereitgestellt und auch an zukünftige Anforderungen angepasst werden.

Dem Bericht zufolge gibt es vier Kernanforderungen an die Netzwerk-Security in komplexen Rechenzentren:

1. Operativen Aufwand bei der Netzwerksicherheit verringern: Mithilfe von SDN-Technologie lasse sich der operative Mehraufwand bei der Organisation der Netzwerksicherheit und dem damit verbundenen Change-Management reduzieren.

2. Sicherstellen von hoher Performance: Die Netzdienste im Rechenzentrum müssen so leistungsstark, das sie Datenpakete zeitnah in Verbindungsleitungen mit Bandbreiten von zehn, 40 und 100 Gigabit pro Sekunde weiterleiten können. Dafür werden effiziente Security-Algorithmen benötigt, die auf extrem schnellen Netzwerkprozessoren und Mehrkern-CPUs laufen.

3. Vielfältige Spezifikationen erfüllen: Netzwerksicherheitskontrollen schließen unter anderem physische Geräte, virtuelle Appliances sowie Cloud-basierte SaaS-Lösungen ein. Durch den Einsatz von SDN können IT-Sicherheitsverantwortliche die passenden Security-Services relativ einfach spezifizieren und im Netzwerk richtig platzieren.

4. Sicherheitsaufgaben automatisieren: Bislang hat nur knapp ein Drittel der Firmen ein automatisiertes Regel-Management für die Firewall implementiert, obwohl die IT-Security-Teams personell unterbesetzt und mit zahlreichen manuellen Prozessen überfrachtet sind. Durch die Automatisierung von Sicherheitsaufgaben bliebe den IT-Sicherheitsexperten mehr Zeit, die Komplexität und das Datenwachstum im Rechenzentrum in den Griff zu bekommen.